Настройка parsec для работы сторонних библиотек на Astra 1.5

alivadny

New member
Сообщения
4
#1
Здравствуйте. Есть необходимость удалённо запускать некую программу с графическим интерфейсом в пользовательской сессии через sudo. Когда пользователь работает в под нулевой мандатной меткой - программа успешно запускается из скрипта командами:
Bash:
PROCS="$(ps ax --cols 800 | grep [X]org | grep -Eo '/var/run/xauth/[^[:space:]]*')"
env XAUTHORITY="$PROCS" DISPLAY=":0" sudo /sec/bin/screenblock "$*"
Под ненулевой меткой программа не запускается. После добавления программы в /etc/X11/trusted в /var/log/Xorg.0.log выводятся строки вида:
[ 4214.055] XPARSEC: client /sec/bin/screenblock found in /etc/X11/trusted list, role=a5
[ 4214.056] XPARSEC: Unexpected maps item '/sec/lib/libDB.so'(line=239 '7fc7d6f25000-7fc7d6f53000 r-xp 00000000 08:01 262956 /sec/lib/libDB.so') in file '/proc/6801/maps' for exec '/sec/bin/screenblock'
[ 4214.056] XPARSEC: client '/sec/bin/screenblock' connected with role=a5 has unexpected contents in /proc/6801/maps
[ 4214.056] XPARSEC: failed to accept non allowed client pid=6801(exe=/sec/bin/screenblock) in this session
Да, программа использует указанную в логах нашу библиотеку. После переноса всех используемых библиотек в /usr/lib и выполнения ldconfig, программа успешно запускается. Судя по всему, каталог /usr/lib является "каталогом с доверенными библиотеками". Но задача состоит в том, что все наши библиотеки должны лежать в одном каталоге.
Можно ли как-то переконфигурировать parsec чтобы определить ещё какой-нибудь "доверенный" каталог для наших библиотек?
На Astra 1.4 эта же программа запускается на любом мандатном уровне без плясок с /etc/X11/trusted.
 
Последнее редактирование:

oko

New member
Сообщения
1 257
#2
to alivadny
Вероятно, у вас косячит взаимодействие включенной политики МКЦ со сторонней утилитой (вашей программой). Поглядите тут в разделе parsec-привилегий соответствующие флаги (право игнорировать мандатную метку по уровню и иже с ним) для вашей программы...
 

alivadny

New member
Сообщения
4
#3
to alivadny
Вероятно, у вас косячит взаимодействие включенной политики МКЦ со сторонней утилитой (вашей программой). Поглядите тут в разделе parsec-привилегий соответствующие флаги (право игнорировать мандатную метку по уровню и иже с ним) для вашей программы...
Спасибо, но не помогло. По ссылке документ от Астра 1.6, а у нас 1.5. В 1.5 нет раздела МКЦ в утилите Управление политикой безопасности.
 

oko

New member
Сообщения
1 257
#4
to alivadny
Утилиты нет, а флаги для parsec есть. Лучше, конечно, к РусБиТеху официально обратиться, объяснят, как быть в Astra со сторонними разработками и библиотеками...